DSGVO FAQ – Tipps zur DSGVO

DSGVO FAQ mit den wichtigsten Fragen und Antworten zur DSGVO und zur Datenschutz-Compliance

Datenschutzverstöße sind keine Kavaliersdelikte. Datenschutz-Compliance ist kein „nice to have“, sondern spätestens seit Geltung der DSGVO von allen Unternehmen und Unternehmern umzusetzendes Recht. Bei Datenschutzverstößen drohen erhebliche, teils existentielle Bußgelder. Informieren Sie sich in diesem DSGVO FAQ zu den datenschutzrechtlichen Anforderungen, die aufgrund der Vorschriften der DSGVO von allen Unternehmen und Unternehmern einzuhalten sind.

1. Was ist die DSGVO?

Die DSGVO (Europäische Datenschutzgrundverordnung) ist eine europäische Verordnung, die das Ziel hat, die rechtlichen Rahmenbedingungen im Bereich Datenschutz europaweit zu harmonisieren und in allen EU-Staaten ein einheitliches und zugleich hohes Datenschutzniveau sicherzustellen. Die DSGVO gilt unmittelbar in allen EU-Staaten wie innerstaatliches Recht. Die europäische Datenschutz-Grundverordnung ist in allen EU-Ländern direkt anwendbar und hat dabei Vorrang vor nationalen Gesetzen.

2. Ab wann gilt die DSGVO (EU-Datenschutzgrundverordnung) verbindlich?

Die EU-Datenschutz-Grundverordnung (DSGVO) ist als Rechtsvorschrift seit dem 24.5.2016 in Kraft und gilt verbindlich seit dem 25.5.2018. Seit diesem Stichtag müssen die Regelungen der DSGVO im Unternehmen umgesetzt und angewendet werden.

 

Daneben ist mit gleichem Datum in Deutschland ein neues Bundesdatenschutzgesetz (BDSG-neu) in Kraft getreten. Dieses ergänzt die Datenschutzgrundverordnung an einigen Stellen, an denen die europäische Verordnung Öffnungsklauseln für den nationalen Gesetzgeber enthält. Beispielsweise regelt das neue Bundesdatenschutzgesetz die Pflicht zur Bestellung eines Datenschutzbeauftragten.

3. Wen betrifft die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) betrifft alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, also praktisch jedes Unternehmen einschließlich Selbstständiger, Startups und Einzelunternehmer. Sie betrifft alle Unternehmen und Unternehmer unabhängig von der Betriebsgröße, unabhängig von der Anzahl der Mitarbeiter und unabhängig vom Umsatz des Unternehmens. Sie gilt sowohl für Unternehmen mit Niederlassung in der EU, aber auch Unternehmen mit Sitz außerhalb der EU.

4. Welche Konsequenzen drohen, wenn man die gesetzlichen Vorschriften der DSGVO missachtet?

Bei Datenschutzverletzungen drohen erhebliche Bußgelder und andere Sanktionen. Im Vergleich zu den Bußgeldvorschriften des früheren Bundesdatenschutzgesetzes (vor dem 25.5.2018) sind die Bußgeldvorschriften der DSGVO ab dem 25.5.2018 erheblich verschärft worden. Es können je nach Art, Umfang und Schwere des Verstoßes Bußgelder bis zur Höhe von 20 Millionen € oder alternativ bis zu 4 % des Konzernumsatzes verhängt werden.

 

Daneben können die zuständigen Datenschutzbehörden auch weitere Sanktionen und Maßnahmen, wie beispielsweise eine Betriebsstilllegung veranlassen, Geschäftsräume betreten, anordnen, dass Daten zu löschen sind oder die Datenverarbeitung untersagen.

 

 

 

⇒ Es ist daher jedem Unternehmen und Unternehmer (einschließlich Freiberufler, Selbstständige und Kleinunternehmer) dringend anzuraten, die datenschutzrechtlichen Pflichten umzusetzen bzw. einzuhalten. Rufen Sie an und lassen Sie sich von unseren Anwälten beraten!

5. Welche zivilrechtlichen Konsequenzen drohen, wenn man die gesetzlichen Vorschriften der DSGVO missachtet?

Verstöße gegen die DSGVO können ferner gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) verstoßen. Folglich drohen wettbewerbsrechtliche Ansprüche der Konkurrenz. Datenschutzrechtliche Verstöße können nach den Vorgaben der DSGVO von Mitbewerbern abgemahnt werden. Sie können also von Konkurrenten auf Beseitigung, Unterlassung und Erstattung der gegnerischen Anwaltsgebühren in Anspruch genommen werden.

 

 

⇒ Auch deshalb ist jedem Unternehmen undbzw. Unternehmer dringend anzuraten, die datenschutzrechtlichen Pflichten aus der DSGVO und aus dem BDSG einzuhalten.

6. Welche datenschutzrechtlichen Grundsätze gelten in der DSGVO?

Die DSGVO nennt in Art. 5 DSGVO die sog. Datenschutzgrundsätze. Hierzu gehören beispielsweise:

 

  • Rechtmäßigkeit und Transparenz der Datenerhebung und Verarbeitung
  • Zweckbindung
  • Datensparsamkeit und Datenlöschung
  • Datenrichtigkeit
  • Vertraulichkeit und Datensicherheit
  • Nachweis-/Rechenschaftspflicht

7. Welche datenverarbeitenden Prozesse im Unternehmen sind nach der DSGVO zulässig?

Da datenverarbeitende Prozesse, die personenbezogene Daten zum Gegenstand haben, generell unzulässig sind, bedarf es immer einer gesetzlichen Erlaubnis oder einer Einwilligung, um eine Verarbeitung personenbezogener Daten durchführen zu dürfen (sog. Verbot mit Erlaubnisvorbehalt).

 

Die DSGVO kennt unterschiedliche Erlaubnistatbestände wie beispielsweise:

 

  • die Erforderlichkeit zur Erfüllung eines Vertrages oder einer vorvertraglichen Anfrage
  • die Erfüllung einer rechtlichen Verpflichtung
  • ein berechtigtes Interesse (fraglich zum Beispiel bei unterschiedlichen Formen der Werbung?)
  • freiwillige Einwilligung des Betroffenen zu einer zweckbestimmten Verarbeitung (Kopplungsverbot)

 

Wenn einer dieser Erlaubnistatbestände erfüllt ist bzw. eine wirksame Einwilligung vorliegt, kann die Datenverarbeitung zulässig sein. Einwilligungen müssen allerdings immer dokumentiert und nachgewiesen werden können. Problematisch an Einwilligungen ist ferner, dass diese jederzeit ohne Grund für die Zukunft widerrufen werden können.

8. Was sind Verarbeitungsverzeichnisse bzw. Verfahrensverzeichnisse nach der DSGVO und wer muss diese führen?

Jedes Unternehmen beziehungsweise jeder Unternehmer, der unter die Datenschutz-Grundverordnung fällt, ist unabhängig von der Größe des Unternehmens und unabhängig von der Mitarbeiterzahl im Hinblick auf die Erhebung, Speicherung und Verarbeitung personenbezogener Daten im Unternehmen verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Die DSGVO gilt diesbezüglich seit dem 25.5.2018 und zwar nicht erst ab einer Mitarbeiterzahl von 250 Mitarbeitern.

 

In dem Verzeichnis der Verarbeitungsvorgänge muss unter Anderem angegeben werden, welchen Zweck die Datenverarbeitung hat, auf welcher Rechtsgrundlage der Verarbeitungsprozess stattfindet und welche technischen und organisatorischen Maßnahmen ergriffen wurden, um die Datensicherheit bzw. ein angemessenes Datenschutzniveau zu gewährleisten. Zudem müssen dort Angaben dazu gemacht werden, wann die Daten gelöscht werden beziehungsweise gelöscht werden müssen (sog. Löschfristen).

 

Den Unternehmer trifft nach der DSGVO hinsichtlich des Vorhandenseins und der Vollständigkeit der Verfahrensverzeichnisse eine Dokumentations- und Nachweispflicht.

 

Das Verfahrensverzeichnis sollte, wenn noch nicht geschehen, unverzüglich und vollständig erstellt werden, um dieses im Falle einer Anfrage der zuständigen Datenschutzbehörde vorlegen zu können (Nachweispflicht).

9. Welche Informationspflichten haben Unternehmen gegenüber Betroffenen?

Neben der Einhaltung der der datenschutzrechtlichen Anforderungen durch Implementierung von Prozessen zur Sicherstellung der DSGVO-Compliance müssen Unternehmen den Betroffenen, wenn personenbezogene Daten erhoben werden, „zum Zeitpunkt der Erhebung“ ungefragt und „leicht verständlich“ über den Zweck sowie über die Rechtsgrundlage informieren und ihn auf seine Betroffenenrechte (z. B. das  Widerspruchsrecht) hinweisen.

 

Dies führt dazu, dass Unternehmen Betroffene z. B. schon bei der Vertragsanbahnung, wenn dort Daten erhoben werden, rechtzeitig mittels einer geeigneten DSGVO-kompatiblen Datenschutzerklärung informieren müssen und auch ihre Datenschutz-Erklärungen auf Internetseiten und Onlineshops entsprechend neugestalten bzw. anpassen müssen.

10. Welche Rechte haben Betroffene nach der DSGVO?

Nach der DSGVO stehen Betroffenen gegenüber der verarbeitenden Stelle weitgehende Rechte zu, die teilweise innerhalb bestimmter Fristen erfüllt werden müssen. Hierzu gehören beispielsweise:

 

  • Informationsrechte (bei Datenerhebung d. h. bei Auftragsanbahnung/Beauftragung)
  • Auskunftsanspruch (kostenlos)
  • Löschungsanspruch
  • Recht auf Datenübertragbarkeit („Datenumzug“)
  • Recht auf Berichtigung
  • Beschwerderecht
  • Widerspruchsrecht

 

Da die Rechte, wenn sie von den Betroffenen ausgeübt werden, unverzüglich bzw. innerhalb bestimmter Fristen erfüllt werden müssen, bedarf es im Unternehmen entsprechender Prozesse, um einzelnen Aufforderungen zeitnah nachkommen zu können.

11. Wann muss ein Datenschutzbeauftragter bestellt bzw. eingesetzt werden?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ist in der DSGVO nicht generell geregelt und gilt daher nicht in allen EU-Mitgliedstaaten gleichermaßen. In Deutschland regelt § 38 Abs. I BDSG-neu eine Pflicht zur Benennung eines Datenschutzbeauftragten, wenn bestimmte Voraussetzungen vorliegen.

 

Danach sind insbesondere Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn dort ständig mindestens zwanzig Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder, wenn in einem Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

12. Müssen Verträge mit Auftragsdatenverarbeitern und Cloud-Anbietern angepasst werden?

In der Regel handelt es sich bei Verträgen mit Cloud-Anbietern um eine sog. Auftragsdatenverarbeitung, die immer dann vorliegt, wenn ein Dienstleister im Auftrag eines Unternehmens (so genannte verantwortliche Stelle) weisungsgebunden Daten verarbeitet. Dies kann beispielsweise bei einem externen Hosting von Daten (Emailprovider, Cloud-Anbieter, Backup etc.) oder bei einem externen E-Mail-Newsletter-Versand über einen Dienstleister der Fall sein. Es trifft immer dann zu, wenn ein Unternehmen Daten an einen Dritten weitergibt und der Dritte für den Auftraggeber eine Datenverarbeitung durchführt, also z. B. auch bei der Verwendung von Software-Dokumentenmanagementsystemen, wenn die Datenbank beim Softwareanbieter gehostet wird sowie bei der Verwendung von Google Analytics.

 

Bestehende Auftragsdatenverarbeitungsverträge müssen in der Regel an die DSGVO angepasst werden. Dabei ist auch zu berücksichtigen, dass künftig auch der Auftragnehmer (Auftragsverarbeiter) eigenen gesetzlichen Pflichten nach der Datenschutz-Grundverordnung (DSGVO) unterliegt (z. B. Dokumentationspflicht, Meldepflicht bei Datenpannen etc.) und entsprechend haftet.

13. Wie ist die Rechtslage bei einer Auftragsdatenverarbeitung mittels US-Unternehmen?

Das Problem mit einer Datenverarbeitung durch US Unternehmen (zum Beispiel sog. Cloud-Anwendungen, bei denen die Server in den USA stehen) liegt darin, dass der Datenschutzstandard in den USA erheblich niedriger ist als in der EU (auf Grundlage der DSGVO) und, dass deshalb die datenschutzrechtlichen Verpflichtungen, die in der EU bestehen bei einer Übermittlung der Daten in ein Land außerhalb der EU bzw. des EWR nicht immer gewährleistet sind. In den USA kommt hinzu, dass staatliche Behörden aufgrund der dortigen Anti-Terror-Gesetzes umfassende Zugriffsmöglichkeiten auf personenbezogene Daten haben.

 

Daher muss in diesen Fällen mit dem Auftragsverarbeiter eine vertragliche Vereinbarung getroffen werden, wonach die Daten innerhalb der EU gehostet werden oder aber der US-Anbieter muss nach dem sogenannten Privacy Shield zertifiziert sein und die Verträge müssen entsprechend angepasst sein. Hier sollte unbedingt die aktuelle Gesetzesentwicklung auf europäischer Ebene beobachtet werden, da verschiedene Verordnungen geplant sind, die dies detailliert regeln sollen.

Sie benötigen Hilfe bei der Umsetzung der DSGVO?

Jetzt anrufen oder E-Mail schreiben!

Erfahrungen & Bewertungen zu WeSaveYourCopyrights Rechtsanwaltsgesellschaft mbH

Kontakt DSGVO

 

Wir freuen uns über Ihre Anfrage und melden uns schnellstmöglich bei Ihnen!

Ihr Name *

Ihre Telefonnummer  *

Ihre E-Mail-Adresse **

Ihre Nachricht **

* Pflichtfeld** freiwillige Angaben

Hiermit willige ich ein, dass ich zum Zwecke der Beantwortung meines obigen Anliegens von der WeSaveYourCopyrights Rechtsanwaltsgesellschaft per Email kontaktiert werden darf. Die Einwilligung ist freiwillig und kann für die Zukunft widerrufen werden.
Durch das Ausfüllen und Absenden des Kontaktformulars wird weder ein Mandatsvertrag geschlossen, noch werden dadurch Kosten ausgelöst. Ihre Angaben sind unverbindlich und dienen uns unter Anderem zur Vorab-Information, zur Vorbereitung der Kontaktaufnahme, zur Kontaktaufnahme, zur Vertragsanbahnung oder zur Erstellung eines Angebots.

Es wird ausdrücklich darauf hingewiesen, dass es sich bei den Fragen und Antworten (DSGVO FAQ) um allgemeine Aussagen handelt. In unserem FAQ können nicht alle Rechtsfragen erschöpfend beantwortet werden. Die Antworten sind nicht auf jeden Fall übertragbar. Es wird daher immer eine individuelle anwaltliche Beratung empfohlen. Das DSGVO FAQ kann eine fachkundige Rechtsberatung im Einzelfall keinesfalls ersetzen.

Informationen zu unserer Datenschutzberatung

 

Informationen zum Thema Datenschutzschulung

 

Informationen zu unseren Leistungen im Bereich Datenschutzrecht